添加DNAT规则 公网NAT网关创建后，通过添加DNAT规则，则可以通过映射方式将您VPC内的云主机对互联网提供服务。 注意 云主机/物理机使用公网NAT网关配置DNAT规则时，不建议云主机/物理机同时绑定公网IP，以免造成流量出入方向走到不同的路径。 一个云主机的一个端口对应一条DNAT规则，一个端口只能映射到一个EIP。如果您有多个云主机或一个主机的多个端口需要为互联网提供服务，则需要创建多条DNAT规则。 1. 登录天翼云控制中心，选择目标区域节点。选择“网络>NAT网关>公网NAT网关”，进入公网NAT网关页面。 2. 点击需要添加规则的公网NAT网关名称，进入公网NAT网关详情页，点击DNAT标签页，在标签页中点击添加DNAT规则。 3. 根据弹出界面提示，配置DNAT规则的基本信息，配置参数如表所示： 参数 参数说明 弹性IP 用于外部公网用户进行服务访问的目的IP。 类型 选择VPC内主机或网卡：选择现有子网内云主机，选择云主机的网卡，使外部用户能够通过DNAT方式访问云主机中的应用。手动输入自定义地址：填写某个主机地址（部分资源池支持）。 云主机（仅在选择VPC内主机或网卡时） 选择DNAT规则对应的内部云主机。 网卡（仅在选择VPC内主机或网卡时） 选择DNAT规则对应的内网IP。 内网地址（仅在选择手动输入自定义地址时） 自定义主机地址（部分资源池支持）。 端口设置 具体端口：支持设置单个端口和端口段，设置端口段时公网端口段和内网端口段的数量必须一致；任意端口：任意端口属于IP映射，任何访问该弹性公网IP的请求都将转发到目标主机实例上，目标主机实例也可以使用该弹性公网IP主动访问公网。 公网端口 外部公网用户访问服务的端口，端口范围1~65535。部分资源池端口范围在1到1024之间，具体以控制台为准。 内网端口 应用在内部提供服务使用的端口，端口范围1~65535。 支持协议 TCP、UDP协议。 描述 DNAT规则信息描述。 4. 设置好对应参数后，点击“确定”，等待DNAT规则变为运行中，即完成DNAT规则的创建。

本章节介绍云数据库ClickHouse数据备份和数据恢复功能。 备份恢复方案 云数据库ClickHouse支持自动备份和手动备份，您可以定期对数据库进行备份，当数据库故障或数据损坏时，可以通过备份文件恢复数据库，从而保证数据可靠性。实例恢复可根据备份任务做相应的数据恢复。可选择恢复到本实例，也可以选择恢复到同region下同租户的其他ClickHouse实例。恢复的实例必须要求和备份实例节点top结构一致。 说明 在备份过程中会进行数据文件的读取与复制，这可能会影响集群的读写效率。建议在业务低峰期启动备份任务。 备份内容 云数据库ClickHouse备份分为元数据备份和数据备份。数据备份时，选择相应库表备份，选中后会把集群内所有节点当前表都选中。 元数据备份：云数据库ClickHouse只针对实例库表数据结构进行备份。 数据备份：云数据库ClickHouse会把库表和数据文件一起备份。 备份位置 云数据库ClickHouse目前备份都存放在对象存储中，不会占用实例的存储空间。 根据保留时间，备份的数据到期后会自动删除。 注意 由于对象存储是按需计费的，余额欠费后，不会影响自动备份和手动备份功能，实例备份占用的备份空间会持续扣费。 备份操作步骤 1. 登入++天翼云ClickHouse 控制台++，在实例列表选择对应的实例，进入实例详情页面单击备份恢复。 2. 如果备份任务页出现未开启备份服务页面，可先去点击开启下备份设置（开启过程会涉及几分钟，请耐心等待）。 3. 点击创建备份，可以手动开启一次备份，手动备份任务是实时启动。也可以在备份策略页面，设置两种备份的备份策略，系统会根据设置的策略周期性进行备份任务，同时根据设置的保留时间，对定时备份进行到期清理。 4. 在备份任务页面，可查看所有的备份任务。备份过程中，正在备份的任务也可以进行取消，后台会把备份进行暂停，同时删除备份过程的数据。

本文向您介绍使用企业交换机构建IDC和云上的大二层网络的最佳实践概述。 应用场景 某公司希望将云下IDC的部分业务迁移上云，在IDC内，业务主机采用集群部署，组网示意图如下所示。 迁移上云过程中，该公司有以下诉求： 按主机粒度迁移上云，迁移中不能中断业务。 由于IDC内主机访问配置文件中记录的不是域名地址，而是真实的IP地址，迁移上云不改变原有主机IP地址。 图IDC内业务集群架构 方案架构 天翼云支持通过企业交换机（Enterprise Switch，ESW） 构建客户IDC和云上二层网络互通，在二层网络内，实现主机粒度迁移，助力客户IDC迁移上云期间业务不中断，不修改IP地址的诉求。 通过企业交换机迁移IDC的组网示例如下图所示，本示例中将IDC内的VMB在不修改IP的前提下，迁移到云上。迁移过程说明如下： 1. 使用云专线或VPN建立云上与云下IDC隧道子网之间的三层网络通信。因为企业交换机建立二层通信网络时，依赖隧道子网之间的三层网络。 2. 创建企业交换机、建立二层连接、配置VXLAN交换机，建立云上与云下IDC的二层网络通信。 3. 将主机VMB（10.0.1.8）迁移到云上ECSB（10.0.1.21），检查好VMB和ECSB的网络通信后，待业务低谷时期关闭IDC内的VMB。 短暂关闭VMB时，业务主要由IDC内的VMA（10.0.1.131）承载，因此不会中断业务。 注意 此处为了验证VMB和ECSB之前的正常通信，刚迁移上云的ECSB和VMB的IP地址不能一样，否则无法正常通信。 4. 关闭IDC内的VMB后，将云上的ECSB地址由10.0.1.21改为10.0.1.8，此时业务流量会通过企业交换机转发到云上的ECSB处理，确保迁移后不改变主机IP地址。 同时，云上的ECSB和IDC内的VMA也可以自由互访，就像还位于同一个子网中。

弹性云主机的操作系统无法正常启动是什么原因？ 1. 查看用户的镜像类型，如果是公共镜像则排除私有镜像的源镜像问题。 2. 单击“申请服务器”，查看能否创建出此镜像的弹性云主机，申请完成后未出现此镜像对应的弹性云主机，则此类镜像可能已经下线，属于老镜像。 3. 控制台不支持使用老镜像继续购买弹性云主机，您需要将弹性云主机的操作系统切换为当前在线的操作系统。 针对Intel处理器芯片存在的Meltdown和Spectre安全漏洞，应该如何规避？ 问题描述 北京时间1月3日，Intel处理器芯片被曝出存在严重的Meltdown和Spectre安全漏洞，漏洞详情如下： 漏洞名称：Intel处理器存在严重芯片级漏洞 漏洞编号：CVE20175753、CVE20175715、CVE20175754 严重程度：高危 漏洞描述：CPU内核高危漏洞Meltdown（CVE20175754）和Spectre（CVE20175715/CVE20175753）爆发，攻击者可利用这两组漏洞，绕过内存安全隔离机制，越权访问操作系统和其他程序的核心数据，造成敏感信息泄露。 问题影响 该漏洞不会引起不同弹性云主机之间的攻击，但可能会引起如下问题： 弹性云主机内多个应用之间，可能存在攻击。 对于同一弹性云主机，多个帐号之间可能存在攻击。 使用公共镜像的弹性云主机，云平台会对公共镜像依次修复，不会对您的业务带来影响。 使用私有镜像的弹性云主机，请根据漏洞影响评估是否更新补丁，以规避风险，更新补丁的具体操作请参见本节内容。 背景信息 受影响的操作系统官方补丁发布状态，请参见云平台安全公告。 前提条件 为避免发生意外，修复漏洞前，建议进行充分测试，并完成弹性云主机的数据备份操作，避免发生意外。 Windows弹性云主机处理方法 步骤 1 登录弹性云主机。 步骤 2 更新补丁。 方式一：使用Windows自动更新功能安装补丁 a. 打开Windows Update，并单击“检查更新”。 b. 根据需要下载安装相关安全补丁。 方式二：手动下载补丁并安装 根据背景信息，下载官方发布的补丁并进行安装。 步骤 3 重启弹性云主机，使补丁生效。 步骤 4 验证是否升级成功。 1. 检查系统运行情况是否正常。 2. 检查已安装的补丁清单是否满足背景信息中“验证方法”的要求。 Linux弹性云主机处理方法 步骤 1 登录弹性云主机。 步骤 2 判断Linux弹性云主机是否安装了Tools（以操作系统SUSE 11 SP1为例）。 1. 在任意目录下执行以下命令，查询弹性云主机的驱动信息，如下图所示。 lsmod grep xen 图 查询驱动信息 2. 执行以下命令，查询驱动路径（以磁盘驱动为例），如下图所示。 modinfo xenvbd 图 查询驱动路径 3. 查看回显，根据驱动路径中是否带有“pvdriver”字段信息，判断弹性云主机是否安装了Tools。 − 是，如图所示，执行步骤3。 − 否，执行步骤4。 步骤 3 卸载Tools。 1. 执行以下命令，切换至root用户。 su root 2. 执行以下命令，在根目录下卸载Tools。 /etc/.uvpmonitor/uninstall 3. 执行以下命令，重启弹性云主机。 reboot 步骤 4 更新补丁，升级kernel内核，具体升级方式请参见背景信息。 说明 升级kernel内核后，请务必执行reboot命令重启弹性云主机。 步骤 5 验证是否升级成功。 1. 检查系统运行情况是否正常。 2. 检查已安装的补丁清单是否满足背景信息中“验证方法”的要求。 说明 补丁更新后，弹性云主机使用的驱动是由操作系统自带。此时，Linux弹性云主机不再支持监控指标：内存使用率、磁盘使用率，对其他特性和功能无影响。如需继续支持监控指标内存使用率、磁盘使用率，请联系客服。

微隔离防火墙以镜像方式承载，订购前需要开通一台云主机承载业务，然后再购买授权。本小节介绍微隔离防火墙的订购模式。 目前下单的两种模式： 1. bcp下单模式，客户经理可通过此模式下单； 2. 官网下单模式，客户经理以外的人员可通过此方式下单。 官网下单模式 1、进入天翼云官网，点击右上角【控制中心】，然后登录。 2、点击【弹性云主机】。 3、点击【创建弹性云主机】。 4、按需选择相应的云主机规格，需注意：在选择公共镜像时，选择安全产品中的微隔离防火墙。 5、云主机需开放端口：10443、6443、8000、60001、60011、60021、60031端口。6443为WEB控制台访问端口，10443端口为后台管理使用的端口，8000安装agent的访问端口，60001、600011、60021、60031为agent接入自适应微隔离管理中心的使用端口。 开放端口操作： 1）点击上图的【下一步：网络配置】进行配置。 2）进入【配置安全规则】。 3）点击【创建安全组】 6、在创建完成云主机后，在【控制中心】中选择安全项中的【微隔离防火墙】。点击小购物车“”进入订购页面。 7、设置实例名称，选择需要微隔离防护的云主机数量，上传识别文件，选择订购时长，勾选服务协议，即可提交订购。本产品的授权过程需要12个工作日的时间完成，完成授权后会生成对应的实例项，授权文件可以在console页面的实例信息中下载，我们也会邮件通知授权文件。

防护带宽峰值 标准价格 10Gbps 7100元/月 20Gbps 13200元/月 30Gbps 19500元/月 40Gbps 25500元/月 50Gbps 30500元/月 60Gbps 34200元/月 70Gbps 37100元/月 80Gbps 41000元/月 90Gbps 44800元/月 100Gbps 46600元/月 150Gbps 52000元/月 平台级尽力防 60660元/月

本小节介绍域名无忧计费类常见问题。 域名无忧是付费产品吗？ 天翼云域名无忧作为天翼云安全业务的一个重要产品，作为付费的增值服务产品提供给天翼云客户，需要用户购买。 域名无忧是否支持试用？ 支持试用。 试用期为1个月，试用套餐包括1个域名监控，1次域名刷新。

本文带您了解VPC终端节点服务有关的概念。 终端节点服务（Endpoint Service） 终端节点服务是可以被其他VPC通过创建终端节点建立内网连接的服务。终端节点服务由服务提供方创建和管理。 服务白名单（Service Whitelist） 服务白名单可以控制允许访问服务资源的用户范围。创建终端节点服务后，系统自动将服务所有者的天翼云账号ID添加到服务白名单中。服务白名单中的用户可以查询到该终端节点服务，也可以创建与该终端节点服务连接的终端节点。如果您希望其他账号下的VPC访问服务，您需要将该天翼云账号ID添加到服务白名单中。 服务后端资源（Service Resources） 终端节点服务后端挂载的服务资源，实际部署开放的服务应用系统，可支持负载均衡，VIP，云主机和物理机等多种类型服务资源。 终端节点（Endpoint） 终端节点可以与终端节点服务相关联，以建立VPC通过内网访问外部服务的网络连接。终端节点由服务使用方创建和管理。根据终端节点连接的服务类型，可分为“接口”型和“反向”型。 终端节点访问控制（Endpoint Access Control List） 终端节点的访问控制能力，可以通过访问白名单方式，控制可通过终端节点访问服务的源主机信息。

本文将从功能简介、背景信息、前提条件、操作步骤、配置说明等方面介绍如何设置规则防护功能。 功能介绍 规则防护引擎使用基于正则的规则防护引擎和基于机器学习的 AI 防护引擎，进行 Web 漏洞和未知威胁防护。 目前防护 Web 攻击包括：SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击。 支持规则模板配置（安全基础配置—漏洞防护配置），用户可根据实际业务需要选择适合的模板，同时提供基于指定域名 URL 和规则 ID 白名单处置策略，进行误报处理。 背景信息 在控制台添加服务域名时，系统将通过4个问题确认网站的防护场景，并为您推荐默认生效的防护规则集，支持选择防护动作为告警或拦截。接入边缘云WAF业务成功后，将默认生效此防护规则集。 规则防护引擎基于各类防护场景，设定了七套防护规则集，能够满足各种网站业务防护需求，帮助网站抵御大量的Web攻击并提供漏洞防护。目前边缘云WAF安全团队总共已经维护五百多条防护规则，支持自动更新Web 0day漏洞攻击防护规则 全量防护规则集：适用于重保等级高，且允许一定程度误报的业务场景。该漏洞规则集防护包含全量规则，绝大部分规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截），容易出现误报，请谨慎选择；敏感防护规则集：适用于常规网站，且允许少量误报的业务场景。该漏洞规则集防护等级较为严格，容易误报的规则处理动作为告警，其他规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截），存在一定误报可能性； 宽松防护规则集：适用于常规网站，允许存在一定漏报的业务场景。该漏洞规则集防护等级较为宽松，关闭容易产生误报的规则，则可能存在一定漏报，接入后请及时关注； PHP防护规则集：适用于后台开发语言为PHP的网站业务。该漏洞规则集主要针对后台语言为PHP进行制定，关闭其他容易产生误报的规则，接入后请及时关注； JAVA防护规则集：适用于后台开发语言为JAVA的网站业务。该漏洞规则集主要针对后台语言为JAVA进行制定，关闭其他容易产生误报的规则，接入后请及时关注； 非PHP和JAVA防护集：适用于后台开发语言明确非PHP和JAVA网站业务。该漏洞规则集主要针对后台语言为非PHP和JAVA进行制定，关闭其他容易产生误报的规则，接入后请及时关注； 下载类业务规则集：适用于下载类业务，即包含zip、rar、tar、gz等下载类后缀的业务网站。该漏洞规则集主要针对下载类业务进行设定规则，关闭其他容易产生误报的规则，接入后请及时关注；

插件简介 storagedriver插件是用于对接块存储、极速文件存储等Iaas存储服务的FlexVolume驱动。 storagedriver是一款云存储驱动插件，北向遵循标准容器平台存储驱动接口。实现Kubernetes Flex Volume标准接口，提供容器使用云硬盘、极速文件存储等IAAS存储的能力。通过安装升级云存储插件可以实现云存储功能的快速安装和更新升级。 该插件为系统资源插件，kubernetes 1.13 及以下版本的集群在创建时默认安装。 说明： v1.15.11r1是Flexvolume fuxi（即storagedriver）和CSI（即Everest（系统资源插件，必装）插件）兼容接管的过渡版本，在v1.17集群中已经去除了对Flexvolume fuxi的支持，请您将Flexvolume fuxi的使用切换CSI Everest上。 CSI Everest兼容接管Flexvolume fuxi后，原有功能保持不变，但请注意不要新建fuxi Flexvolume的存储，否则将导致部分存储功能异常。 当存储功能有升级或者BUG修复时，用户无需升级集群或新建集群来升级存储功能，仅需安装或升级storagedriver插件。 约束与限制 本插件仅支持在v1.13 及以下版本的集群中安装，v1.15及以上版本集群创建时默认必装Everest（系统资源插件，必装）插件。 安装插件 本插件为系统默认安装，若因特殊情况卸载后，可参照如下步骤重新安装。 在云容器引擎CCE中，kubernetes 1.11及以上版本的新建集群，将会默认安装storagedriver插件。 未安装storagedriver插件的集群，可参考如下步骤进行安装： 步骤 1 登录CCE控制台，在左侧导航栏中选择“插件管理”，在“插件市场”页签下，单击storagedriver插件下的“安装插件”。 步骤 2 在安装插件页面，选择安装的集群和插件版本，单击“下一步：规格配置”。 步骤 3 云存储插件暂未开放可配置参数，直接单击“安装”。 待插件安装完成后，单击“返回”，在“插件实例”页签下，选择对应的集群，可查看到运行中的实例，这表明该插件已在当前集群的各节点中安装。 升级插件 步骤 1 登录CCE控制台，在左侧导航栏中选择“插件管理”，在“插件实例”页签下，选择对应的集群，单击storagedriver下的“升级”。 说明： 如果升级按钮处于冻结状态，则说明当前插件版本是最新的版本，不需要进行升级操作。 升级storagedriver插件时，会替换原先节点上的旧版本的storagedriver插件，安装最新版本的storagedriver插件以实现功能的快速升级。 步骤 2 在基本信息页面选择插件版本，单击“下一步”。 步骤 3 云存储插件暂未开放可配置参数，直接单击“升级”即可升级storagedriver插件。 卸载插件 步骤 1 登录CCE控制台，在左侧导航栏中选择“插件管理”，在“插件实例”页签下，选择对应的集群，单击storagedriver下的“卸载”。 步骤 2 在弹出的窗口中，单击“是”，可卸载该插件。

方案优势 针对需求变动频繁、开发测试环境复杂、多版本分支维护困难、无法有效监控进度和质量等研发痛点，提供一站式云端管理平台，管理软件开发全过程。 提供可视化、可定制的持续交付流水线服务，实现持续交付，让软件上线提速一倍。

支持平台 下载地址 Windows x64 Mac OS

本文为您介绍密钥管理服务的产品优势。 密钥管理服务（KMS）与传统的密钥管理设施相比具有安全合规、弹性高效、广泛集成以及稳定可用等优势。 安全合规 通过国家密码管理局安全性审查，符合国家密码行业标准（GM/T）相关技术规范要求，获得由国家密码管理局商用密码检测中心颁发的《商用密码产品认证证书》。 采用由国家密码管理局批准的硬件密码设备，通过更高安全的保护机制确保密钥的保密性、完整性和可用性。 集中托管 支持自动化开通，按需扩容，弹性灵活。 提供密码基础设施的完全托管，可轻松创建密钥等资源，并通过极简API/SDK实现应用的快速集成。 广泛集成 与云硬盘、对象存储、弹性文件、数据库等天翼云产品无缝集成，实现云上资源原生数据的加密保护。 云产品服务端加密功能可一键开启，加密过程透明无感知，用户体验极好。 稳定可靠 采用分布式部署，在每个资源池构建了冗余的密码计算能力，有效保证服务可靠性。 支持VPC内应用通过私密的连接通道访问KMS服务，保证数据安全性的同时，大幅度提高了访问效率，减少延时。

本文介绍如何连接DRDS实例逻辑库。 连接方式介绍 DRDS提供使用内网、公网两种连接方式，详见下表： 连接方式 IP地址 使用场景 说明 ::: 内网连接 内网IP地址 系统默认提供内网IP地址。当部署应用的弹性云主机，与DRDS实例处于同一区域的同一VPC内时，建议使用内网IP连接弹性云主机与DRDS实例。 安全性较高，提升网络连接的速度和DRDS实例的稳定性。推荐使用内网连接。 公网连接 弹性公网IP 不能通过内网IP地址访问DRDS实例时，使用公网访问。建议单独绑定弹性公网IP，实现弹性云主机（或公网主机）与DRDS实例间的连接。 安全性较低。为了获得更快的传输速率和更高的安全性，建议您将应用迁移到与您的DRDS实例在同一VPC内，使用内网连接。 前提条件 连接前需确保已成功配置DRDS实例。 弹性云主机上已安装MySQL客户端或程序已配置好MySQL连接驱动。 注意 出于安全考虑，建议连接DRDS所使用的弹性云主机与DRDS实例处于相同的虚拟私有云（VPC）。 操作步骤 步骤一：获取DRDS实例连接信息 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 分布式关系型数据库】，进入分布式关系型数据库产品页面。然后单击【管理控制台】，进入【概览】页面。 2. 在左侧导航栏，选择【DRDS > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击【操作】列的【管理】，进入实例【基本信息】页面。 4. 查看实例的VIP和端口信息，即为连接地址。 5. 在左侧导航栏选择【用户管理】，获取DRDS实例的用户信息。 6. 获取到以上信息，即为可以连接DRDS实例的连接信息。

事件总线负责接收事件源生产的事件。 事件总线EventBridge的事件总线包括以下类型： 云服务专用事件总线：一个无需创建与不可修改的内置官方事件总线，用于接收天翼云官方事件源的事件。天翼云官方事件源的事件只能发布到云服务专用事件总线。 自定义事件总线：需自行创建并管理的事件总线，用于接收自定义应用的事件。自定义应用事件只能发布到自定义事件总线。

本文介绍如何通过日志分析分析域名访问日志和Web攻击日志。 功能简介 日志分析模块主要是介绍和指导客户如何分析域名访问日志和Web攻击日志。为您提供一个月内的访问日志和Web攻击日志。 创建日志任务 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【数据分析】，进入【日志分析】菜单。 3. 单击页面左上角【新建日志任务】按钮。 4. 配置完成后，单击【确定】，保存日志任务。 注意 本产品相关数据从您成功配置任务后才开始生成和记录。若您尚未进行任务配置，将无法获取到任何数据。 请您在使用相关功能前，先完成任务配置，以确保正常使用。 配置项说明 配置项 说明 任务名称 配置任务的名称，支持中英文、数字、最长30个字符。 日志类型 配置需要创建的日志类型，支持配置业务访问日志和Web应用攻击日志。一个任务只能配置一种日志类型。 关联域名 配置日志任务的域名，默认为全部域名。 实时分析日志 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【运营管理】—【数据分析】，进入【日志分析】菜单。 3. 单击【日志任务列表】—【操作】中的【实时分析日志】按钮，进入实时分析日志页面。

步骤二：购买弹性IP 步骤说明 弹性IP主要用来绑定NAT网关的SNAT或DNAT规则，以实现访问公网的功能。此处我们需要2个弹性公网IP，分别绑定SNAT规则和DNAT规则。 操作步骤 1. 登录天翼云控制台，选择“网络>弹性IP”。 2. 进入弹性IP控制台，点击右上角“申请弹性IP”。 3. 按需求选择带宽规格，购买数量选择2，单击“下一步”。 4. 确定规格，选择我已阅读并同意相关协议，单击“确认下单”，完成弹性IP创建。 步骤三：购买NAT网关 步骤说明 购买公网NAT网关必须指定公网NAT网关所在VPC。此处指定需要通过NAT网关访问公网的弹性云主机所在的VPC和子网。 操作步骤 1. 登录天翼云控制台，选择“网络>NAT网关”。 2. 进入NAT网关控制台，点击右上角“创建NAT网关”。 3. 选择付费方式，填写名称，选择可用区，VPC选择环境准备中的创建的VPC，选择规格，点击“下一步”。 4. 确认规格，选择我已阅读并同意相关协议，单击“确认下单”，完成NAT网关的创建。 步骤四：配置VPC路由（仅部分资源池需要） 步骤说明 部分资源池在购买NAT网关后，自动加载路由到VPC中，不需要此步操作。 部分资源池需要在默认路由中添加路由指向NAT网关，具体功能以控制台为准。

本文主要介绍了开启重点操作短信验证的操作流程。 操作说明 开启重点操作短信验证保护后，您在进行对云主机进行关机、重启、重装等重点操作的场景时，需输入验证码，以防止错误操作造成的损失和风险。 需要注意的是：短信验证功能一旦开启，所有重点操作统一开启，短信验证的有效期为 15 分钟，15 分钟内做其他操作不需要重复验证。 操作流程 1.登录天翼云账号后，点击右上角登录名下方的“账号中心”，进入“统一身份认证”中，下拉找到“概览敏感操作”。 2.找到“操作保护”，点击“立即修改”，选择“开启”按钮。 3.输入正确验证码，点击”确认“，即可开启重点操作保护。

本节介绍了如何开通DDoS高防（边缘云版）服务。 操作流程 步骤一：订购服务 步骤二：选择套餐 步骤一：订购服务 您可以在官网直接在线订购DDoS高防（边缘云版），也可以联系客户经理进行线下开通（注意：线下开通也需要完成天翼云账号注册与实名认证）。 1. 注册天翼云账号。 2. 完成实名认证（未实名认证的用户需按提示完成实名认证才能开通服务）。 3. 进入产品详情页，快速了解产品，之后单击【立即开通】。 4. 在购买页面选择适合的套餐及功能，勾选并阅读服务协议，确认无误后点击“订购”，产品即开通。 5. 产品服务开通后，便可以根据操作手册去控制台开始接入您要服务的业务。 步骤二：选择套餐 选购项 是否必选 选购项说明及建议 套餐规格 是 不同的套餐规格，包含的保底防护带宽、CC防护能力、业务带宽、端口数和域名数会存在差异。您需要评估您业务的防护需求，以选择合适的套餐。 保底防护带宽：可防御的攻击流量峰值。 CC防护能力：可防御的CC攻击峰值 业务带宽：所接入业务日常入方向及出方向流量总和的峰值。 端口数：使用TCP和UDP协议添加接入的端口数量。 域名数：支持使用HTTP和HTTPS接入的域名数量。需梳理一级主域名的数量以及主域名下子域名的数量。 弹性防护 否 弹性防护带宽为超过保底带宽后的最高防护带宽，超过保底带宽值但不大于弹性带宽值的攻击仍然可以进行有效防护，但会根据超出保底带宽的部分产生后按照超出部分所属阶梯价格付费（按天收费），如防护超过选定的最高防护带宽，则通过解析回源，2小时后自动解封。 若您的业务有受到超大流量攻击的风险但次数不会太频繁，建议开启弹性防护。 域名扩展包 否 如果您需要防护的域名数量超过您购买套餐的域名数量，可以购买扩展包进行补充：一个扩展包支持1个主域名及域名下的9个子域名。 端口数 否 如果您需要防护的端口数量超过您购买套餐的端口数量，可以购买扩展包进行补充。 业务带宽 否 如果您需要的业务带宽量超过您购买套餐的使用量，可以购买扩展包进行补充。 缓存功能 否 如果您需要增加缓存功能，可以开启该功能。 购买时长 是 选择需要订购的时长。 自动续订 否 若开启，将在余额充足的情况下自动续订，续订时长可设置。

本文介绍HTTPS定义及配置方法。 功能介绍 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 在天翼云客户控制台开启HTTPS协议，可实现客户端和天翼云边缘安全加速节点之间数据包的安全加密传输。如果想要实现全链路HTTPS传输，则需要在边缘安全加速节点配置HTTPS协议回源（源站服务器需支持HTTPS协议）。 HTTPS请求的基本流程： 1. 客户端向边缘安全加速节点发起HTTPS请求。 2. 边缘安全加速节点将对应域名的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥是否正确，如果正确则随机生成一个密钥A，并使用公钥加密后发送给边缘安全加速节点。 4. 边缘安全加速节点使用SSL证书对应私钥进行解密，得到密钥A。 5. 客户端与边缘安全加速节点在后续通信过程中使用密钥A对传输的数据加密。 6. 客户端与边缘安全加速节点使用密钥A对收到的数据进行解密，获取对应数据。 配置说明 1. 登录边缘安全加速平台控制台。 2. 在域名基础配置页面，点击目标域名。 3. 进入HTTPS配置页面，单击“编辑配置”。 4. 单击右侧【请求协议】，勾选【请求协议】中的【HTTPS】。 5. 单击右侧【HTTPS配置】，选择域名对应的【证书】。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加证书。添加完毕后，再选择对应证书，如未找到目标证书，可点击右侧的刷新按钮刷新后再重新选择。 6. 单击【保存】，完成配置。 参数 说明 证书 配置证书前，需先在【请求协议】开启【HTTPS】后进行HTTPS相关配置。 证书，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 如果已经在【证书管理】上传证书，可直接选择对应域名证书。 如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。

本文为您介绍安全使用IAM的建议。 为了帮助您安全地控制对天翼云云资源的访问，请您遵循安全使用IAM的建议。 不给天翼云帐号创建访问密钥 天翼云帐号是您天翼云云资源归属、资源使用计费的主体，对其所拥有的资源及云服务具有完全的访问权限。密码与访问密钥（AK/SK）都是帐号的身份凭证，具有同等效力，密码用于登录界面控制台，是您必须具备的身份凭证，访问密钥用于使用开发工具进行编程调用，是第二个身份凭证，为辅助性质，非必须具备。为了提高帐号安全性，建议您仅使用密码登录控制台即可，不要给帐号创建第二个身份凭证（访问密钥），避免因访问密钥泄露带来的信息安全风险。 不将访问密钥嵌入到代码中 当您使用API、CLI、SDK等开发工具来访问云服务时，请勿直接将访问密钥嵌入到代码中，减少访问密钥被泄露的风险。 创建单独的IAM用户 如果有任何人需要访问您天翼云帐号中的资源，请不要将帐号的密码共享给他们，而是在您的帐号中给他们创建单独的IAM用户并分配相应的权限，同时，作为天翼云帐号主体，建议您不使用帐号访问天翼云，而是为自己创建一个IAM用户，并授予该用户管理权限，以使用该IAM用户代替帐号进行日常管理工作，保护帐号的安全。

本节介绍如何从魔乐社区导入私有模型。 前置条件 在导入私有模型前，请确保集群已安装 cstorcsi 插件。 前置条件 详细信息 插件 如何安装上述插件？ 在集群列表页点击进入指定集群； 在左侧导航栏中选择“插件/插件市场”，进入插件市场列表页； 搜索指定插件，点击“安装”； 公网 如何访问公网？ 使用SNAT访问公网：< 操作步骤 一、进入 智算套件 AI应用管理 模型制品 私有模型，点击 创建模型。 二、填入 模型名称， 选择模型类别、模型框架、业务场景，打开 导入模型 按钮，社区名称选择 魔乐社区MODELERS，开源模型处补全模型链接，最后点击提交。 三、点击模型，进入模型版本页面，等待模型导入成功。

本文介绍ECI实例概述。 本文主要介绍弹性容器实例ECI Pod的主要功能以及使用限制。 前提条件 已开通并授权云容器引擎。 已登录弹性容器实例控制台开通ECI服务。 Kubernetes应用限制 借助Kubernetes社区的Virtual Kubelet技术，天翼云ECI可以完美连接到Kubernetes，实现真正意义上的无缝连接。ECI实例并不会在一个集中式的真实节点上运行，而是分布在整个天翼云的资源池中。由于公共云的安全性和虚拟节点本身的限制，ECI目前还不支持Kubernetes中的一些功能，如DaemonSet。具体功能限制请参见下表： 不支持的功能 说明 HostPath 允许将宿主机（Node）上的文件或目录挂载到Pod中 HostNetWork 允许Pod使用宿主机的网络命名空间，而不是使用Kubernetes的网络隔离 DaemonSet 用于确保每个集群节点上自动运行一个指定的Pod副本 Privileged权限 允许容器几乎拥有宿主机级别的权限 typeNodePort的Service 通过在集群的节点上暴露一个静态端口，使得外部可以通过指定IP地址和该端口访问服务 核心功能 功能项 说明 安全隔离 提供虚拟机级别的安全和资源隔离能力，每个容器实例都运行在独占内核中，不与其它负载和Pod共享基础设施资源。同时针对容器运行环境进行了深度优化，具备比虚拟机更快的启动速度和运行效率 CPU/Memory资源或规格配置 ECI Pod默认使用按需计费模式进行费用收取。支持指定CPU和Memory资源或者指定ECS规格创建实例 镜像拉取与缓存 镜像拉取：ECI Pod在每次启动时，会自动从远程仓库获取容器镜像。对于公共镜像的获取，建议配置VPC的NAT网关或为ECI Pod配置弹性公网IP (EIP)。为优化镜像拉取效率，我们推荐您使用天翼云容器镜像服务，加速镜像的下载 镜像缓存：ECI提供镜像缓存功能，镜像缓存是为了加速拉取镜像以减少ECI启动时间而设计的。镜像拉取是容器实例启动的主要耗时，而制作镜像缓存可以通过预先获取、存储和管理已经拉取的镜像，实现对容器实例启动时间的显著减少。考虑到网络和镜像大小等因素的影响，构建镜像缓存可以通过连续使用相同的镜像实现快速部署，从而加速容器实例的启动并提高系统的可用性 存储 支持使用多种存储方式： CSI：CSI插件是目前Kubernetes社区推荐的插件实现方案，Serverless集群所提供的 CSI 存储插件与社区 CSI 特性兼容。该插件由以下两个组件组成：CSIPlugin：提供挂载和卸载数据卷的能力，Serverless集群默认支持云硬盘和弹性文件服务两种存储服务；CSIProvisioner：提供自动挂载数据卷的能力 PV/PVC：PV提供长期存储资源，而PVC允许用户以抽象的方式请求这些存储资源，实现存储的分配和管理 EmptyDir：该数据卷是一种用于容器实例中临时存放数据的目录，以便于容器之间共享数据。但是需要注意的是，当容器实例被删除时，EmptyDir数据卷中的数据也会被清空 网络 ECI Pod默认采用Host网络模式，并会占用交换机vSwitch的一个弹性网卡ENI资源。在Kubernetes集群环境中，ECI Pod与云主机节点上的Pod可以相互访问。具体方法如下： 创建类型为LoadBalancer的Service对象，并与ECI Pod进行关联；也支持Service同时关联ECI Pod和云主机上的Pod 创建类型为ClusterIP的Service对象，ECI Pod可以直接访问集群中的clusterIP地址 配置相应的 NAT 网关或弹性公网 EIP，并为 ECI Pod绑定指定EIP，或者将 NAT 网关绑定到 ECI 实例所属的 VPC 网络中 日志采集 通过安装日志采集服务插件，一般情况无需再额外部署sidecar容器

支持平台 下载地址 Windows x64 MacOS

本文介绍判断直播生效的方法。 您可通过ping、dig等命令，测试加速域名的DNS解析结果。若域名解析结果为平台分配的CNAME地址，即说明配置成功，可实现全网加速生效。

本章主要介绍翼MapReduce的配置HBase允许修改操作的IP地址白名单功能。 当HBase集群开启Replication功能时，为了保护主备集群的HBase数据一致性，对备集群HBase增加了数据修改操作的保护。当备集群HBase接收到数据修改操作的RPC请求时，首先检查发出该请求的用户的权限，只有HBase管理用户才有修改权限；其次检查发出该请求的IP的有效性，备集群只接收来自IP白名单中的机器发起的修改请求。IP白名单通过配置项“hbase.replication.allowedIPs”配置。 参数修改入口：在FusionInsight Manager系统中，选择“集群 > 待操作集群的名称 > 服务 > 服务名 > 配置”，展开“全部配置”页签。在搜索框中输入参数名称。 详见下表：参数说明 配置参数 说明 默认值 hbase.replication.allowedIPs 仅允许指定IP地址的复制请求。支持逗号分隔型regex模式。以下模式均支持： Regex模式例如: 10.18.40. , 10.18. , 10.18.40.11 Range模式（只能指定八位字节的最后一个的范围）例如: 10.18.40.[1020] 参数值默认为空，为空时IP白名单为备集群RegionServer的IP，表示只接受来自备集群RegionServer的修改请求。 N/A

本章节主要介绍翼MapReduce的批量刷新hosts文件操作。 操作场景 在FusionInsight Manager界面上下载的客户端包中包含客户端批量升级工具，该工具在提供批量升级客户端功能的同时，也提供了轻量级的批量刷新客户端所在节点“/etc/hosts”文件的功能。 前提条件 更新前准备请参考批量升级客户端章节“客户端升级前准备”步骤。 批量更新hosts文件 1. 检查需要更新“/etc/hosts”文件的节点的配置用户是否为“root”。 是，执行步骤2。 否，更改配置用户为“root”，再执行步骤2。 2. 执行 sh clientbatchupgrade.sh r f /tmp/FusionInsightClient/FusionInsightCluster1ServicesClient.tar g /tmp/FusionInsightClient/FusionInsightCluster1ServicesClientConfig/batchupgrade/clientinfo.cfg ，批量刷新客户端所在节点的“/etc/hosts”文件。 说明 执行批量刷新“/etc/hosts”文件时，输入的客户端包可以是完整客户端，也可以是仅包含配置文件的客户端软件包，推荐使用仅包含配置文件的客户端软件包。 需要更新“/etc/hosts”文件的主机所配置的用户必须为root用户，否则会刷新失败。

规格项 规格要求 备注 操作系统 Windows 7 Pro SP1 64bit Windows 10 Pro 64bit Windows Server 2008 R2 Enterprise 64bit Windows Server 2016 standard 64bit Mac OS 暂时不支持Linux平台，Windows用户建议使用Windows7及以上版本。

为了极致的使用体验,天翼云提供了多种连接方式以满足虚拟私有云VPC内的云主机与公网、其他VPC、或本地数据中心(IDC)互连的需求。 访问Internet VPC内的云资源连接公网（Internet）,可以通过如下云产品实现。 云产品 应用场景 描述 相关操作 弹性公网IP 单个ECS连接公网 申请一个弹性公网IP（EIP）并将其绑定到ECS上，ECS即可连接公网，实现主动访问公网或面向公网提供服务。 支持动态绑定和解绑ECS。可以使用共享带宽和共享流量包，降低公网成本。 使用EIP连接公网 （地址：文档VPC快速入门《搭建IPv4网络》） NAT网关 多个ECS共享弹性公网IP连接公网 NAT网关提供SNAT和DNAT两种功能：SNAT可实现同一VPC内的多个ECS共享一个或多个EIP主动访问公网， 有效降低管理成本，同时减少了ECS的EIP直接暴露的风险。DNAT功能还可以实现端口级别的转发， 将EIP的端口映射到不同ECS的端口上，使VPC内多个ECS共享同一EIP和带宽面向公网提供服务，但没有均衡流量的功能。 使用SNAT连接公网 （地址：文档NAT网关快速入门《使用SNAT连接公网》）， 使用DNAT面向公网提供服务（地址：文档NAT网关快速入门《面向公网提供服务》） 弹性负载均衡 通过将访问流量均衡分发到多个ECS的方式对外提供服务， 比如电商等高并发访问场景 弹性负载均衡（ELB）可以将访问流量均衡分发（支持4层和7层两种方式）到多个后端ECS上， 通过绑定EIP支撑海量用户从公网访问ECS。通过流量分发扩展应用系统对外的服务能力， 通过消除单点故障提升应用系统的可用性。 弹性负载均衡介绍 （地址：文档弹性负载均衡产品介绍）

本节介绍了查看监控指标的操作场景、前提条件、操作步骤。 操作场景 公有云平台提供的云监控，可以对弹性云主机的运行状态进行日常监控。您可以通过管理控制台，直观地查看弹性云主机的各项监控指标。 由于监控数据的获取与传输会花费一定时间，因此，云监控显示的是当前时间5～10分钟前的弹性云主机状态。如果您的弹性云主机刚刚创建完成，请等待5～10分钟后查看监控数据。 前提条件 弹性云主机正常运行。 关机、故障、删除状态的弹性云主机，无法在云监控中查看其监控指标。当弹性云主机再次启动或恢复后，即可正常查看。 说明 关机、故障24小时的弹性云主机，云监控将默认该弹性云主机不存在，并在监控列表中删除，不再对其进行监控，但告警规则需要用户手动清理。 弹性云主机已对接云监控，即已在云监控页面设置告警规则。 对接云监控之前，用户无法查看到未对接资源的监控数据。具体操作，请参见设置告警规则。 弹性云主机已正常运行一段时间（约10分钟）。 对于新创建的弹性云主机，需要等待一段时间，才能查看上报的监控数据和监控视图。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台左上角的，选择区域和项目。 3. 选择“计算 > 弹性云主机”。 4. 在弹性云主机列表中的右上角，输入弹性云主机名称、IP地址或ID，并进行搜索。 5. 单击弹性云主机的名称，查看详情。 6. 在弹性云主机详情页面，选择“监控”页签，查看监控数据。 7. 在弹性云主机监控区域，您可以通过选择时长，查看对应时间的监控数据。 当前支持查看弹性云主机“近1小时”、“近3小时”、“近12小时”的监控数据。

本文带您快速熟悉修改后端云主机端口和权重的操作。 操作场景 负载均衡后端主机组支持对后端主机的端口和权重进行修改，权重越高的后端主机将被分配到越多的访问请求。 修改后端主机端口和权重功能目前仅在集群模式资源池上线。主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 使用须知 在将后端云主机添加到弹性负载均衡器后，您可以为每个后端云主机指定不同的端口号。每台后端主机的权重取值范围为[1, 256]。 操作步骤 1. 登录天翼云控制中心。 2. 选择网络>弹性负载均衡>负载均衡器”。 3. 单击已创建的负载均衡器实例名称。 4. 在该负载均衡详情界面，选择“后端主机组”标签。 5. 选定特定的后端主机组，点击左侧箭头展开主机组，显示“云主机”和“跨VPC后端IP”两个选项卡，选择“云主机”选项卡。 6. 从云主机列表中选择要修改的云主机，点击“修改”。 7. 依据后端主机端口和权重配置说明，在弹出的修改后端主机窗口内修改后端主机的端口和权重配置。 8. 点击“确定”，即可完成修改后端主机端口和权重的操作。 后端主机端口和权重配置说明 参数 说明 端口 后端云主机的服务监听端口，取值范围[165535]。 权重 后端虚拟机权重。权重值决定了后端云主机处理的请求的比例。例如，一个权重为2的云主机处理的请求数是权重为1的两倍。默认情况下，权重为1。

参数 参数类型 说明 示例 下级对象 imageOid String 镜像ID imageName String 镜像名称 osName String 操作系统名称 osType String 操作系统类型（Windows;Linux） platform String 操作系统平台（Windows;Centos;Ubuntu;UOS;Kylin银河麒麟;NeoKylin中标麒麟） sysDisk Object 系统盘相关信息 sysDisk 表 sysDisk